为安全 Shell 创建本地管理帐户

在移除 root SSH 访问权限之前，必须创建本地管理帐户，这些帐户可以用作安全 Shell (Secure Shell, SSH)，并且是辅助 wheel 组的成员。

在禁用直接 root 访问之前，请测试授权管理员可以使用 AllowGroups 来访问 SSH，并且他们可以使用 wheel 组和 su 命令以 root 身份登录。

过程

以 root 身份登录并运行以下命令。
```
# useradd username -d /home/vropsuser -g users -G wheel -m 
# passwd username
```
其中 wheel 是 AllowGroups 中指定进行 SSH 访问的组。要添加多个辅助组，请使用 -G wheel,sshd。
切换到该用户并提供新密码以确保密码复杂性检查。
```
# su – username
username@hostname:~>passwd
```
如果满足密码复杂性要求，该密码会更新。如果不满足密码复杂性要求，该密码恢复为原始密码，必须重新运行密码命令。
在您创建登录帐户以允许使用 wheel 访问权限进行 SSH 远程访问并使用 su 命令以 root 身份登录之后，您可以将 root 帐户从 SSH 直接登录中移除。
要移除 SSH 直接登录，请修改 /etc/ssh/sshd_config 文件，方法是将 (#)PermitRootLogin yes 替换为 PermitRootLogin no。

下一步做什么

禁止以 root 身份直接登录。默认情况下，强化设备通过控制台直接登录到 root。在您创建管理帐户以获得不可否认性并测试它们能够进行 wheel 访问 (su - root) 之后，请禁用直接 root 登录，方法是以 root 身份编辑 /etc/securetty 文件，然后将 tty1 条目替换为 console。